La reciente aprobación por parte del Consejo de la Unión Europea del Reglamento sobre Resiliencia Operativa Digital (DORA) y la Directiva NIS 2 marca un hito importante a la hora de dar respuesta a nuestra pregunta. Si hiciéramos un relato de la historia de la ciberseguridad y sus diferentes niveles de adopción, probablemente muchas de las personas que trabajamos en este sector haríamos «alarde» de un «ya lo hemos venido advirtiendo«.
Hemos pasado de los momentos románticos de los ciberriesgos, donde las mentes inquietas nos hacían ver la necesidad de trabajar con metodologías de seguridad adecuadas y los fabricantes de soluciones nos aseguraban que con sus plataformas podíamos dormir tranquilos, a un escenario digital en el que la velocidad de los cambios tecnológicos y la transformación de nuestros negocios han derivado en una situación que podría llevarnos a situaciones límite y críticas.
Recuerdo un congreso, en 2002, donde un experto −que hoy continúa en primera línea− me hacía una pregunta clave: «Xabier, ¿cuándo conseguiremos que se nos tome en serio a los profesionales de la ciberseguridad y nuestras empresas inviertan de forma adecuada en necesidades reales?». Seguro que recuerda mi respuesta: «Cuando consigamos que nuestros CEO asistan y participen en estos congresos».
Después de muchas leyes y reglamentos, estamos en el lugar adecuado. Dentro de las características del Reglamento DORA, de directa aplicación en el sector financiero y sus diferentes líneas de negocio, y de la Directiva NIS 2, aplicada a sectores esenciales y críticos (energía, agua, sanidad, alimentación, transporte, plataformas digitales…), ya tenemos la ciberseguridad en el lugar que se merece: en los consejos de administración.
Cultura de seguridad
El nuevo modelo normativo incrementa y alinea los requisitos en materia de ciberseguridad reforzando el papel de los gobiernos para exigir su cumplimiento. Y su impacto es tal, que se ha elevado su obligado cumplimiento a la cadena de suministro, incluyendo a todas aquellas empresas cuyo tamaño sea mayor de 250 trabajadores y de 50 millones de negocio.
Todos sus altos directivos, empezando por CEO y consejos de administración, tendrán la responsabilidad de cumplir con las necesidades de seguridad de sus sistemas y ecosistemas para garantizar la resiliencia de los servicios críticos europeos. Alea jacta est. Ya no tenemos excusas para, de una vez por todas, hacer de la cultura de la seguridad uno de los elementos de competitividad de nuestras empresas y de futuro para nuestra ciudadanía.
Es momento de revisar cómo hemos llegado hasta aquí y cómo debemos construir a partir de ahora un modelo donde la colaboración público-privada sea un hecho, evitando una competencia entre ambos entornos con una fórmula muy sencilla. Por un lado, las entidades públicas han de promover y exigir la cultura y el compromiso con la ciberseguridad practicando con el ejemplo. Por otro lado, las empresas privadas deben desarrollar sus estrategias de negocio alrededor de un verdadero ADN de seguridad que las haga más competitivas y resilientes.
Reflexión final sobre la ciberseguridad hoy
No quiero acabar este alegato sin pedir una reflexión profunda al sector: oferta y demanda. La seguridad no se subasta, no es simple ni fácil de gestionar. Nos quejamos permanentemente de la falta de talento, pero más allá de quienes están en clientes finales con posiciones y condiciones acordes a sus capacidades y resultados, creo que debemos revisar urgentemente cómo contratamos la seguridad si nuestro reto ha sido exigir a nuestros CEO que nos escuchen e inviertan en futuro. Ni las licitaciones públicas, ni las privadas, ponen realmente en valor esa palabra mágica que llamamos «talento».
Así que la pregunta debe tener una misma respuesta para todos, CEO y CISO, oferta y demanda: la ciberseguridad es una obligación y un compromiso.
